Blizzard-Spiele machten Rechner der Nutzer leicht angreifbar (Update)

Spiel, Blizzard, World of Warcraft, Online-Game Bildquelle: Jeremy Keith / Flickr
Die Nutzer diverser Blizzard-Spiele waren über eine Schwachstelle im Blizzard Update Agent angreifbar. Sicherheitsforscher aus Googles Project Zero-Team hatten die Schwachstelle ausfindig gemacht, über die ein Angreifer beliebige Codes auf einen Rechner schleusen und diesen so letztlich komplett übernehmen konnte. Der Update Agent ist ein ziemlich mächtiges Tool. Über ihn können nicht nur Patches an die installierten Spiele ausgeliefert werden, zu Wartungszwecken lassen sich beispielsweise auch die getätigten Einstellungen verändern. Dabei sorgte ein integriertes Authentifizierungssystem eigentlich durchaus dafür, dass nur Codes zur Geltung kamen, die auch von Blizzard abgesegnet waren.

Es stellte sich bei genauerer Untersuchung aber heraus, dass der Mechanismus eine Schwachstelle aufwies und umgangen werden konnte. Mit einem DNS-Rebindung-Angriff konnten Skripte, die in eine Webseite eingebettet waren, vortäuschen, Daten von einem Blizzard-Server zu senden. Dass die Informationen im Grunde vom lokalen Browser an den Server-Dienst im Update Agent geschickt wurden, spielte dabei keine Rolle.


Schweigen im Walde

Der Google-Entwickler Tavis Ormandy hatte das Problem vor einiger Zeit an Blizzard gemeldet. Nachdem aber einige E-Mails hin und her gegangen waren, habe das Unternehmen plötzlich geschwiegen, berichtete der Sicherheitsforscher gegenüber dem britischen Magazins The Register. Da sich jetzt aber herausstellte, dass Blizzard zwischenzeitlich in aller Stille einen Patch ausgeliefert hat, veröffentlichte er weitergehende Informationen zu dem Problem.

Einzig die Lösung ist nach Einschätzung Ormandys nicht gerade ideal. Er hatte demnach vorgeschlagen, eine White List in den Agent zu integrieren, anhand derer doppelt abgesichert wird, welche Quelle vertrauenswürdig ist. Blizzard hat sich aber wohl dafür entschieden, mit einer Black List zu arbeiten. Hier wird über einen Hash geprüft, woher die Daten kommen - und die Programmdateien der lokalen Browser sind gesperrt. Interessant: Microsoft Edge ist darin nicht gelistet, entweder hat Blizzard diesen vergessen oder nimmt diesen schlichtweg nicht wichtig genug.

Update 19 Uhr: Blizzard hat sich mittlerweile auch zu dem Problem geäußert. Demnach arbeitet das Team nun an einem "robusteren Whitelist-Fix für Host-Header" und werde ihn bald implementieren. Der ausführbare Blacklisting-Code ist veraltet und nicht als Lösung für dieses Problem gedacht, so Blizzard: "Wir sind in Kontakt mit Tavis, um solche Missverständnisse in der Zukunft zu vermeiden."

Download StarCraft - Blizzards Strategie-Klassiker Spiel, Blizzard, World of Warcraft, Online-Game Spiel, Blizzard, World of Warcraft, Online-Game Jeremy Keith / Flickr
Diese Nachricht empfehlen
Kommentieren4
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 06:45 Uhr (2018 Neuer 4G LTE Tablet PC) CHUWI 4G LTE Tablet PC 2K Display Hi9 Air 10,1 Zoll Android 8.0 Oreo OS MTK MT6797 X20 Zehn Kern bis zu 2.3GHz 2560x1600 IPS 4GB RAM 64GB ROM Wifi Bluetooth(2018 Neuer 4G LTE Tablet PC) CHUWI 4G LTE Tablet PC 2K Display Hi9 Air 10,1 Zoll Android 8.0 Oreo OS MTK MT6797 X20 Zehn Kern bis zu 2.3GHz 2560x1600 IPS 4GB RAM 64GB ROM Wifi Bluetooth
Original Amazon-Preis
230,99
Im Preisvergleich ab
230,99
Blitzangebot-Preis
196,34
Ersparnis zu Amazon 15% oder 34,65

Video-Empfehlungen

Tipp einsenden